posts - 29, comments - 16, trackbacks - 0, articles - 0
   :: 首页 :: 新随笔 :: 联系 :: 聚合  :: 管理

进程注入(转)

Posted on 2009-02-15 10:15 王勇良 阅读(468) 评论(0)  编辑 收藏 引用 所属分类: 软件安全

今天要完成一个项内容,运行另一个应用程序abc.exe,实现它的父进程是explorer.exe。

最开始的思路是获得explorer.exe的句柄,用ShellExecute启动abc.exe。但是用explorer.exe的句柄创建的进程的父进程依然是调用和进程,而不是传入句柄的进程。

看来直接的不行,只能用间接的了。把运行abc.exe的代码段写到explorer.exe的内存里面去。然后让explorer来运行这段代码。

static DWORD CALLBACK ThreadProc(){
    ::ShellExecute(NULL,"open","abc.exe",NULL,NULL,SW_SHOW);
    return TRUE;
}

但是现在就出现问题了,ShellExecute在shell32模块里,还需要LoadLibrary和GetProcAddress。同时它也 用了两个字符串常量,这些字串会出现在本进程的内存中,在explorer中运行代码就会出错,系统把它关掉。所以改用了WinExec来代替 ShellExecute,同时要把需要的字串和函数指针都写到explorer的内存区里。

typedef UINT (WINAPI * WINEXEC)(LPCSTR,UINT);

typedef struct tagTHREADDATA{
    TCHAR            fileName[20];
    WINEXEC            pWinexec;
}THREADDATA, *LPTHREADDATA;

static DWORD CALLBACK ThreadProc(LPTHREADDATA pData){
    pData->pWinexec(pData->fileName,SW_SHOW);
    return TRUE;
}
获得explorer进程PID的方法
DWORD getExplorerPID(){
    HWND startButtonHandle;
    DWORD processID;
    startButtonHandle = ::FindWindow (TEXT("Shell_TrayWnd"),NULL);
    ::GetWindowThreadProcessId( startButtonHandle, &processID );
    return processID;
}

注入内存的过程:

user32Handle = ::GetModuleHandle(TEXT("kernel32"));
//得到kernel32模块句柄
processHandle = ::OpenProcess(PROCESS_CREATE_THREAD | PROCESS_QUERY_INFORMATION | PROCESS_VM_OPERATION | PROCESS_VM_WRITE | PROCESS_VM_READ,FALSE,getExplorerPID());
//用explorer的PID来打开进程,并得到创建线程和写的权限。
dataAddr = ::VirtualAllocEx(processHandle,0,sizeof(THREADDATA),MEM_COMMIT,PAGE_EXECUTE_READWRITE);
//在explorer的内存内里申请一块内存来存所用的数据
THREADDATA data = {TEXT("a.exe"),(WINEXEC)GetProcAddress(user32Handle,"WinExec"),};
WriteProcessMemory(processHandle,dataAddr,&data,sizeof(THREADDATA),&byteWrited);
//把数据写到申请的内存中
codeAddr = ::VirtualAllocEx(processHandle,0,sizeOfThreadProc,MEM_COMMIT,PAGE_EXECUTE_READWRITE);
//申请代码的内存区
WriteProcessMemory(processHandle,codeAddr,&ThreadProc,sizeOfThreadProc,&byteWrited);
//把代码写进去,这时我们己经把我们要用的代码和数据都准备好了。
threadHandle = CreateRemoteThread(processHandle,NULL,0, LPTHREAD_START_ROUTINE)codeAddr,dataAddr,0,(LPDWORD)threadID);
//在explorer中创建一个线程,来执行启动abc.exe的代码。所需的数据都己经在explorer的内存块中,所以不会出问题。
WaitForSingleObject(threadHandle, INFINITE);
VirtualFreeEx(processHandle,dataAddr,0,MEM_RELEASE);
VirtualFreeEx(processHandle,codeAddr,0,MEM_RELEASE);
CloseHandle(threadHandle);
CloseHandle(processHandle);
//等待执行完毕,释放内存,关闭句柄。

这就完成了代码的注入与执行。


只有注册用户登录后才能发表评论。
网站导航: 博客园   IT新闻   BlogJava   博问   Chat2DB   管理